目錄的 rwx 權限
當前用戶:vagrant:vagrant
創建 testdir
目錄,進入 testdir
目錄內。創建文件 test
。
$ mkdir testdir
$ cd testdir
$ touch test
修改 testdir
權限爲 000
,嘗試執行 ls testdir
$ chmod 000 testdir
$ ls testdir/
ls: cannot open directory testdir/: Permission denied
修改 testdir
權限爲 400
,嘗試執行 ls testdir
$ chmod 400 testdir
ls -l testdir/
ls: cannot access testdir/test: Permission denied
total 0
-????????? ? ? ? ? ? test
結果:能夠讀取目錄下文件列表,但是看不到具體文件信息(權限、大小、用戶組、時間等),儘管當前用戶是 /testdir/test
的擁有者
且具有 rwx
權限。
擁有目錄的 r
權限可以讀取目錄下的文件列表。
繼續,嘗試進入 testdir
目錄。
$ cd testdir/
-bash: cd: testdir/: Permission denied
看來 r
權限並不能讓我們具有進入目錄。
我們增加一個 x
權限試試。
~$ chmod 500 testdir/
~$ cd testdir/
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:16 test
成功進入。
擁有目錄的 x
權限能夠讓我們進入到目錄下。在此工作目錄下,我們可以查看文件列表及文件的屬性信息。
嘗試刪除 test
文件或者新建文件 test1
。
~/testdir$ rm test
rm: cannot remove ‘test’: Permission denied
~/testdir$ touch test1
touch: cannot touch ‘test1’: Permission denied
擁有目錄的 r x
權限並不能允許我們改變目錄的內容。目錄裏的文件列表可以看做是目錄的內容。
擁有目錄的 w
權限可以對目錄的內容進行增刪。
~/testdir$ chmod 700 .
~/testdir$ rm test
~/testdir$ touch test1
~/testdir$ ls -l
total 0
-rw-rw-r-- 1 vagrant vagrant 0 Nov 19 08:30 test1
umask
在上面的例子裏,我們創建的新文件的權限是 664
(-rw-rw-r--),爲什麼默認權限會是 664
,我如果想改變新文件的默認權限怎麼辦?
控制檯輸入 umask:
$ umask
0002
umask
是權限的補碼。文件的默認權限是 666 - umask
。
如果我們創建的文件不想讓其他用戶有 r
權限,則修改補碼爲 0006
即可。
~/testdir$ umask 0006
~/testdir$ touch test2
~/testdir$ ls -l | grep test2
-rw-rw---- 1 vagrant vagrant 0 Nov 19 08:38 test2
爲什麼文件的默認權限不是 777 - umask
呢?因爲新建的文件默認不具有可執行權限,所以只考慮 rw
權限的話,這波操作自然是 666
了。
目錄默認具有 x
權限,當 umask
是 0002
時,創建的目錄的默認權限應該是 777 - 0002 = 775
:
~/testdir$ mkdir dir1
~/testdir$ ls -l | grep dir1
drwxrwxr-x 2 vagrant vagrant 4096 Nov 19 08:39 dir1
特殊權限
SUID
一般來說文件權限是 rwx
。我們查看一下 passwd
(修改密碼命令)的權限:
~/testdir$ ls -l /usr/bin/passwd
-rwsr-xr-x 1 root root 47032 May 16 2017 /usr/bin/passwd
細心點你會發現它的用戶權限的 x
位竟然是 s
。這個權限叫 SUID
,僅對二進制程序有效。
當用戶具有該文件的執行權限時,執行該文件會短暫的獲取該文件所有者權限的支持。
比如:所有用戶的密碼存在 /etc/shadow
這個文件裏,且該文件的權限默認是 -r-------- root root
,僅root
用戶具有強制寫入權限,那爲什麼普通用戶還能修改自己的密碼呢?就是因爲 passwd
命令具有 SUID
權限,用戶執行該命令時會獲得文件所有者 root
的權限支持,從而修改自己的密碼。
SGID
當 group
的 x
位置變成 s
時,說明該文件具有 SGID
權限。SGID
權限對二進制程序有效。類似 SUID
,用戶在具有文件的 x
權限時,執行該文件,會獲取該文件所屬用戶組的權限支持。
除了二進制程序外,SGID
也可以設置在目錄上。
若用戶對該目錄具有 SGID
權限:
用戶在此目錄下的有效用戶組將會變成該目錄的用戶組。
如果用戶具有該目錄的 w
權限,則用戶在此目錄下創建的文件的用戶組與此目錄的用戶組相同。
該權限對於項目開發很重要。
SBIT
該權限目前只對目錄有效:
當用戶對此目錄具有 w,x
權限,用戶在該目錄下創建文件夾或目錄後,僅自己和 root
纔有權限刪除該文件。
Others
的 x
權限位若爲 t
,則說明文件夾具有 SBIT
權限。
比如 /tmp
目錄:
$ ls -l / | grep tmp
drwxrwxrwt 4 root root 4096 Nov 19 09:09 tmp
$ sudo -s
# touch test
root@vagrant-ubuntu-trusty-64:/tmp# exit
exit
vagrant@vagrant-ubuntu-trusty-64:/tmp$ rm test
rm: remove write-protected regular empty file ‘test’? y
rm: cannot remove ‘test’: Operation not permitted
如何設置以上三種權限
如果在普通的權限設置的“三個數字”前再加一個數字,那前面這個數字就代表這幾個權限了:
- 4 爲 SUID
- 2 爲 SGID
- 1 爲 SBIT
比如:
# chmod 777 /tmp
# ls -l / | grep tmp
drwxrwxrwx 4 root root 4096 Nov 19 09:17 tmp
# chmod 1777 /tmp
# ls -l / | grep tmp
drwxrwxrwt 4 root root 4096 Nov 19 09:17 tmp
End。